Teď jste offline a čekáte, až se znova připojí internet.

Omezení přenosu služby RPC Active Directory k určitému portu

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 224196
Souhrn
Podle výchozího nastavení služby Active Directory replikace Vzdálená volání procedur (RPC) dochází dynamicky přes port k dispozici prostřednictvím mapovače koncový bod služby vzdálené volání Procedur (RPCSS) pomocí portu 135. Správce může přepsat tuto funkci a určit port, který prochází všechny přenosy Active Directory RPC. Tento postup zamyká port.

Při zadání portů pomocí položky registru, které jsou uvedeny v části "Další informace" server-side replikací služby Active Directory a přenosu služby RPC klienta odesílá k těmto portům mapovače koncových bodů. Tato konfigurace je možné, protože všechna rozhraní vzdáleného volání Procedur, které jsou podporovány službou Active Directory, které jsou spuštěny na všechny porty, na kterých je přijímá.

Poznámka:Tento článek nepopisuje konfiguraci replikace AD pro bránu firewall. Další porty musí být otevřeny k replikaci pracovat přes bránu firewall. Porty pravděpodobně nutné otevřít pro protokol Kerberos. Chcete-li získat úplný seznam požadované porty služeb přes bránu firewall, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
832017 Přehled služeb a požadavků na síťové porty pro systém Windows Server
Další informace

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Však mohou nastat závažné problémy při nesprávné úpravě registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
Při připojení koncového bodu RPC runtime služby RPC klienta kontaktuje mapovači koncových bodu služby vzdálené volání Procedur (RPCSS) na serveru na portu známé (135) a získá port pro připojení pro podporu požadované rozhraní RPC služby. To předpokládá, že klient neví, kompletní vazby. To platí pro všechny služby AD RPC.

Služba registruje jednu nebo více koncových bodů při spuštění a má možnost dynamicky přiřazený port nebo určitý port.

Pokud provádíte konfiguraci služby Active Directory a služba Netlogon na "portu x" jako v následující položce, tento parametr se stane porty, které jsou registrovány ve službě mapovače koncových bodů kromě standardních dynamických portů.

Pomocí Editoru registru upravit následující hodnoty v každém řadiči domény, kde jsou omezené porty mají být použity. Členské servery nejsou považovány za přihlašovací servery, tedy statické přidělování portů pro NTDS nemá žádný vliv na ně.

Členské servery mají rozhraní RPC služby Netlogon, ale jen zřídka se používá. Některé příklady by bylo možná vzdálená konfigurace vyhledávání jako "nltest /server:member.contoso.com /sc_query:contoso.com".

Klíč registru 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Hodnota registru: TCP/IP Port
Typ hodnoty: REG_DWORD
Údaj hodnoty: (k dispozici port)

Je třeba restartovat počítač, aby nové nastavení projeví.

Klíč registru 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Hodnota registru: DCTcpipPort
Typ hodnoty: REG_DWORD
Údaj hodnoty: (k dispozici port)

Je třeba restartovat službu Netlogon nové nastavení projeví.

Poznámka:Pomocí položky registru DCTcpipPort a nastavte ji na stejný port jako položka registru "TCP/IP Port", obdržíte chybu události Netlogon 5809 poskytuje pod NTDS\Parameters. To znamená, že je nakonfigurován port používán a je třeba vybrat jiný port.

Zobrazí se stejná událost, když máte jedinečný port a restartujte přihlašovací službu Netlogon na řadiči domény. Toto je záměrné a dochází kvůli způsobu, jakým modul runtime služby RPC spravuje jeho porty serveru. Port budou použity po restartování a události mohou být ignorovány.

Správci by měl potvrdit, že komunikace přes zadaný port je povoleno, pokud všechny mezilehlé síťové zařízení či softwaru slouží k filtrování paketů mezi řadiči domény.

Často je nutné také ručně nastavit port RPC služby replikace souborů (FRS) protože AD a replikaci FRS replikaci se stejného řadiče domény. Port RPC služby replikace souborů (FRS) měli použít jiný port. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
319553 Jak omezit přenosy replikační služby FRS na konkrétní statický port
Nepředpokládejte, že klienti používat pouze služby Netlogon RPC a proto je nutné pouze nastavení DCTcpipPort. Klienti také používají další služby RPC, SamRPC, LSARPC a také rozhraní Directory Replication Services (DRS). Proto by měl vždy obě nastavení registru a otevřete oba porty v bráně firewall.

Známé problémy

Po určení přístavů, může docházet k následujícím problémům:
2827870 Dlouhé přihlášení po nastavení na konkrétní statický port pro NTDS a Netlogon v prostředí domény se systémem Windows Server 2008 R2
2912805 AD replikace se nezdaří s chybu vzdáleného volání Procedur po nastavit statický port pro NTDS v prostředí domény se systémem Windows
2987849 Přihlášení se nezdaří po omezení klienta vzdáleného volání Procedur pro provoz řadiče domény v systému Windows Server 2012 R2 nebo Windows Server 2008 R2
Problémy vyřešíte instalací aktualizace uvedené v článcích.

Další informace o mapovač koncových bodů vzdáleného volání Procedur klepněte na následující číslo článku databáze Microsoft Knowledge Base:
154596 Jak konfigurovat vzdálené volání Procedur dynamického přidělování portů pro práci s bránou firewall

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 224196 - Poslední kontrola: 03/15/2015 03:29:00 - Revize: 13.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Standard x64 Edition, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Windows Server 2012 Standard, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB224196 KbMtcs
Váš názor